O ano está acabando, e chegou a agora de refletir sobre tudo o que aconteceu durante o ano de 2023. Nesse momento, podemos entender melhor o que funcionou e o que precisa ser melhorado, o que causou problemas e como evitar que eles aconteçam no próximo ano. Pensando nesses insights, a unidade de pesquisa da Qualys reuniu vários dados e gráficos que mostram um resumo de como a tecnologia e seus usuários se comportaram durante esse ano que passou.
Continue lendo esse blog e confira as informações da pesquisa para poder aplicar os dados na sua empresa e atualizar sua estratégia de cibersegurança de acordo.
As principais ameaças do ano
Para começar, vamos falar sobre as principais ameaças que as equipes de cibersegurança tiveram que enfrentar durante esse ano. De acordo com a pesquisa realizada pela Qualys, foram examinados métodos e táticas de ataque utilizadas e identificadas estratégias para fortalecer as defesas.
Mais de 7.000 vulnerabilidades apresentavam códigos de exploração de prova de conceito. Embora elas possam resultar em explorações bem-sucedidas, é importante notar que os códigos geralmente possuem qualidade inferior, o que poderia reduzir a probabilidade de um ataque de sucesso. As explorações associadas a essas vulnerabilidades tinham uma alta probabilidade de comprometer o sistema de destino, se utilizadas.
115 vulnerabilidades que eram rotineiramente exploradas por agentes de ameaças, malware e grupos de ransomware, como o CL0P. Entre as vulnerabilidades observadas, 109 tinham evidências conhecidas de exploração e estavam listadas no CISA KEV.
Grupos de ransomware, como LockBit e Cerber, exploraram 20 vulnerabilidades, enquanto 15 vulnerabilidades foram exploradas por grupos de malware e botnets. E, por fim, um total de 97 vulnerabilidades foram exploradas em estado selvagem, mas não foram incluídas na lista CISA KEV. Isso leva ao alerta de que as organizações que utilizam o CISA KEV como base devem priorizar esses CVEs.
Além disso, os resultados destacaram que mais de um terço das ameaças de alto risco poderiam ser exploradas remotamente. Os cinco tipos mais prevalentes representaram mais de 70% do total descoberto, enfatizando a necessidade crítica de uma estratégia abrangente de gestão de vulnerabilidades que inclua capacidades de verificação remota e não dependa exclusivamente de métodos baseados em agentes.
Ameaças relacionadas a grupos de ransomware
Uma das principais constatações foi que 206 vulnerabilidades de alto risco, mais de 50% foram aproveitadas por agentes de ameaças, ransomware ou malware para comprometer os sistemas, e abrangem um extenso conjunto de sistemas e aplicativos, incluindo, entre outros, PaperCut NG, MOVEit Transfer, vários sistemas operacionais Windows, Google Chrome, Atlassian Confluence e Apache ActiveMQ. Isso mostra que nada está fora do alcance dos ataques cibernéticos, e que elas podem ser exploradas de forma remota.
Certas vulnerabilidades permitem que os invasores contornem os mecanismos de autenticação ou aumentem seus privilégios. Esses tipos são particularmente preocupantes, pois podem conceder os níveis mais elevados de acesso e simplificar o comprometimento do sistema e os esforços de exfiltração de dados.
Além disso, vulnerabilidades encontradas em plataformas como Fortra GoAnywhere MFT e Apache ActiveMQ são capazes de facilitar a execução remota de código ou injeção de comando, o que pode levar ao controle total do sistema. As ameaças à segurança cibernética, muitas vezes direcionadas a versões específicas de software, exigem uma estratégia dinâmica e abrangente.
Isso inclui atualizações regulares, patches, avaliações de vulnerabilidades e autenticação robusta, medidas que podem fazer toda a diferença para uma defesa robusta e uma segurança cibernética eficaz.
Principais táticas de MITRE ATT&CK
Um dos ataques mais comuns durante esse ano que explorou as fraquezas e pontos fracos encontrados nos sistemas das organizações mundiais foi o MITRE ATT&CK. Por isso, o relatório focou nas principais táticas e métodos utilizados pelos criminosos, de forma que seja possível identificar a forma que ele ocorre e planejar um método de contenção.
Primeiro, começamos com a exploração de serviços remotos (T1210 e T0866, a técnica mais frequente, com 72 ocorrências em ambientes corporativos e 24 em sistemas de controle industrial (ICS), e utilizada para acesso inicial e movimentação lateral.
Depois, temos a exploração de aplicativos voltados para o público (T1190 e T0819), uma técnica que visa aplicativos acessíveis pela Internet e mostra a grande necessidade de uma segurança robusta para aplicativos externos, juntamente como a exploração para escalonamento de privilégios (T1068), que envolve invasores tentando obter privilégios mais elevados dentro de um sistema e destaca a necessidade de uma monitorização eficaz dentro das redes.
Além desses principais, outras táticas também foram observadas, como:
– Exploração para Execução do Cliente (T1203)
– Escalação de Privilégios em Dispositivos Móveis (T1404)
– Exploração de Aplicativo/Sistema (T1499.004)
– Serviços Remotos Externos (T1133)
– Compromisso de Passagem (T1189)
– Escalação de Privilégios no ICS (T0890)
– Link Malicioso (T1204.001)
– Exploração de Serviços Remotos em Dispositivos Móveis (T1428)
Cada uma dessas técnicas representa um desafio distinto na segurança cibernética, oferecendo insights sobre a evolução das táticas dos adversários cibernéticos. Compreendê-las é crucial para desenvolver estratégias de defesa mais eficazes e reforçar as medidas de segurança cibernética contra essas ameaças predominantes.
Conclusão
No geral, percebemos que o rápido processo da transformação de vulnerabilidades em armas e a diversidade de agentes envolvidos trazem grandes desafios para organizações em todo o mundo. A e-Safer busca estar sempre atualizada e informada das atualizações e ameaças mais recentes, e por isso, nosso foco é oferecer uma proteção de qualidade e ferramentas atualizadas.
Para 2024, procure adotar uma abordagem multifacetada de cibersegurança que inclua gestão, monitoramento e análise, e priorize as vulnerabilidades. Dê atenção especial às que são conhecidas por serem exploradas na prática, aquelas com alta probabilidade de exploração e aquelas com código de exploração disponível. Isso pode te ajudar na hora de se proteger.
Mas, principalmente, procure um SOC 24×7 como o que possuímos, com uma equipe sempre disponível e preparada para agir em qualquer momento, mesmo durante as festas de final de ano ou férias. Descanse tranquilo sabendo que estamos de olho no seu negócio, e que seus dados estão seguros. Confira nosso site para saber mais sobre nossos produtos!
